คลังเก็บหมวดหมู่: thectalkthai

พบบั๊กบน Facebook API รูปภาพของผู้ใช้กว่า 6.8 ล้านคนเสี่ยงหลุดสู่ภายนอก

Facebook ออกแถลงการณ์ พบบั๊กบน Application Programming Interface (API) สำหรับรูปภาพบนแพลตฟอร์มโซเชียลมีเดียของตน ซึ่งอาจทำให้บุคคลที่สามสามารถเข้าถึงรูปภาพของผู้ใช้กว่า 6,800,000 คนเกินกว่าที่กำหนดไว้ได้โดยไม่ได้รับอนุญาต

Credit: JaysonPhotography/ShutterStock.com

แอปพลิเคชันที่ได้รับสิทธิ์ในการเข้าถึงรูปภาพ ส่วนมากมักจะถูกจำกัดเฉพาะรูปที่โพสต์บนไทม์ไลน์ของเจ้าของบัญชี Facebook อย่างไรก็ตาม ระหว่างช่วง 2 สัปดาห์ของวันที่ 13 – 25 กันยายนที่ผ่านมา มีความผิดพลาดเกิดขึ้นบนโค้ดส่วน Photo API ที่ทำการอัปเดตใหม่ ซึ่งทำให้สิทธิ์ในการเข้าถึงรูปภาพดังกล่าวถูกขยายออกไปยังส่วนอื่นๆ เช่น Marketplace หรือ Facebook Stories รวมไปถึงรูปภาพที่เจ้าของไม่ได้เผยแพร่ออกไป (รูปภาพดังกล่าวนี้เกิดจากการที่ผู้ใช้ทำการอัปโหลดรูปขึ้น Facebook แต่ยังไม่ได้โพสต์ออกไป อาจจะเป็นเพราะเกิดเปลี่ยนใจ หรือไปทำกิจกรรมอย่างอื่นก่อน Facebook จะทำการเก็บรูปไว้ชั่วคราว เผื่อผู้ใช้กลับมาโพสต์ต่อให้จบ) ส่วนรูปภาพที่แชร์ผ่าน Facebook Messenger นั้นไม่ได้รับผลกระทบแต่อย่างใด

Facebook ได้ทำการตรวจสอบเบื้องต้น พบว่าปัญหาดังกล่าวส่งผลกระทบต่อผู้ใช้ราว 6,800,000 คน และมีแอปพลิเคชัน 1,500 รายการจากนักพัฒนา 876 รายที่สามารถเข้าถึงรูปภาพอื่นๆ ของผู้ใช้ได้โดยไม่ต้องรับความยินยอมก่อน อย่างไรก็ตาม ต้องเข้าใจตรงกันว่าแอปพลิเคชันเหล่านี้ อย่างน้อยก็ได้รับอนุมัติในการเข้าถึง Photoi API ของ Facebook และมีสิทธิ์ในการเข้าถึงรูปภาพบนไทม์ไลน์ของผู้ใช้อยู่ก่อนแล้ว

เนื่องจากขณะเกิดเหตุนั้น Facebook ไม่สามารถระบุได้ชัดเจนว่า แอปพลิเคชันใดที่เรียกใช้ API ที่มีปัญหาบ้าง ทางบริษัทฯ จึงตัดสินใจแจ้งเตือนไปยังผู้ใช้ทั้งหมดที่มีการใช้ 1 ใน 1,500 แอปพลิเคชันเหล่านั้น ในขณะที่แจ้งไปยังนักพัฒนาเจ้าของแอปพลิเคชันให้ตรวจสอบรูปภาพที่มี และจัดการลบรูปที่ไม่สมควรได้รับอนุญาตให้เข้าถึงทิ้งไป

จนถึงตอนนี้ Facebook แก้ไขบั๊กบน Photo API เป็นที่เรียบร้อยแล้ว สำหรับผู้ใช้ที่ได้รับผลกระทบ จะมี Notification แจ้งเตือนบน Facebook ซึ่งจะลิงค์ไปยังหน้า Help Center เพื่อให้ตรวจสอบถึงผลกระทบที่ตนเองได้รับ และแอปพลิเคชันที่อาจจะมีสิทธิ์เข้าถึงรูปภาพเกินกว่าขอบเขตที่กำหนดไว้

ที่มา: https://www.bleepingcomputer.com/news/security/facebook-photo-api-bug-exposed-pics-of-up-to-68-million-users/

from:https://www.techtalkthai.com/facebook-api-bug-exposed-photos-from-6-8-million-users/

Advertisements

สหรัฐฯ เตือนประชาชนอยู่ในความสงบ หลังพบอีเมลสแปมขู่วางระเบิดทั่วสหรัฐฯ

ตำรวจและหน่วยงานบังคับใช้กฎหมายที่เกี่ยวข้องของสหรัฐฯ ออกมาแจ้งเตือนให้ประชาชนอยู่ในความสงบ หลังพบแคมเปญอีเมลสแปมขู่วางระเบิดแพร่กระจายในหลายเมือง ไม่ว่าจะเป็นนิวยอร์ก ชิคาโก ดีทรอยต์ ซาน ฟรานซิสโก และวอชิงตัน หากไม่ยอมจ่ายค่าไถ่ $20,000 (ประมาณ 650,000 บาท) ส่งผลให้เกิดความวุ่นวายและการอพยพหนีออกจากอาคารไปทั่วทั้งสหรัฐฯ

จากการตรวจสอบพบว่าแคมเปญอีเมลสแปมดังกล่าวถูกส่งออกไปทั่วสหรัฐฯ กว่าหลายล้านฉบับ ถึงแม้ว่าหัวข้อและเนื้อหาจะแตกต่างกันไปบ้าง แต่หลักๆ แล้วคือการขู่วางระเบิดสถานที่ทำงานของเหยื่อ ถ้าเหยื่อไม่ยอมจ่ายประมาณ $20,000 ในรูปของ Bitcoin

ถึงแม้ว่าผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยจะออกมาระบุว่าอีเมลสแปมเหล่านี้เป็นเรื่องหลอกลวง แต่ประชาชนชาวอเมริกันส่วนใหญ่กลับไม่คิดแบบนั้น ส่งผลให้เกิดความวุ่นวายและการอพยพหนีออกจากอาคารไปทั่ว ในขณะที่ทางตำรวจสหรัฐฯ เองก็ได้รับรายงานอีเมลขู่วางระเบิดจากหลายๆ เมืองตลอดทั้งวัน จนถึงขั้นต้องส่งทีมกู้ระเบิดเข้าไปตรวจสอบในอาคารบางแห่ง

มหาวิทยาลัย โรงเรียน สื่อสารมวลชน ศาล บริษัทเอกชน และหน่วยงานสาธารณะหลายแห่งทั่วสหรัฐฯ ไม่ว่าจะเป็น นิวยอร์ก ชิคาโก ดีทรอยต์ ซาน ฟรานซิสโก ลาสเวกัส และวอชิงตัน ต่างได้รับอีเมลขู่จนทำให้ต้องอพยพฉุกเฉิน ส่งผลให้ทั้งธุรกิจและการให้บริการต่างๆ หยุดชะงัก จนในที่สุดตำรวจและหน่วยงานบังคับใช้กฎหมายที่เกี่ยวข้องก็ได้ออกประกาศผ่านทางโซเชียลมีเดียให้ประชาชนอยู่ในความสงบและไม่ต้องสนใจอีเมลขู่ดังกล่าว รวมไปถึงไม่มีความจำเป็นต้องจ่ายค่าไถ่แต่อย่างใด

จากการตรวจสอบบัญชี Bitcoin ที่ระบุในอีเมลขู่ พบว่าจนถึงตอนนี้ยังไม่มีใครจ่ายค่าไถ่ให้กับเหตุการณ์ที่เกิดขึ้นครั้งนี้

ที่มา: https://www.zdnet.com/article/extortion-emails-carrying-bomb-threats-cause-panic-across-the-us และ https://www.bleepingcomputer.com/news/security/new-bomb-threat-email-scam-campaign-demanding-20k-in-bitcoin/

from:https://www.techtalkthai.com/bomb-threat-email-scam-in-us/

[PR] บทความพิเศษ: การใช้ AI ให้เกิดประโยชน์ต่อสังคมไทย

บทบรรณาธิการ : Kent Walker, Senior Vice President, Global Affairs, Google

หลายปีก่อนผมได้ฟังการบรรยายของ Hans Rosling นักสถิติชื่อดังชาวสวีเดนที่ทำงานด้านการนำเสนอแผนภาพข้อมูล (Data Visualization) เขาฝันถึงแดชบอร์ดสำหรับวิกฤตทั่วโลก เขากล่าวว่า “เรามีแดชบอร์ดสำหรับรถยนต์แล้ว แต่เรายังไม่มีแดชบอร์ดสำหรับปัญหาใหญ่ๆ ที่มนุษย์กำลังเผชิญอยู่”

วันนี้แดชบอร์ดที่ว่านั้นอยู่ไม่ไกลเกินเอื้อมแล้ว เรากำลังผลิตเครื่องคอมพิวเตอร์ที่มีประสิทธิภาพกว่าเดิมและพัฒนาวิธีการใหม่ๆ ในการประมวลผลข้อมูล เครื่องมือเหล่านี้เริ่มช่วยให้เราเข้าใจวิกฤตที่เกิดขึ้นรอบตัวเรา นอกจากนี้ยังช่วยให้เราระบุรูปแบบต่างๆ เพื่อเตรียมพร้อม เยียวยา หรือแม้กระทั่งป้องกันวิกฤตต่างๆ ที่เกิดขึ้น ไม่ว่าจะเป็นความเจ็บป่วย ภัยพิบัติทางธรรมชาติ หรือวิกฤตการณ์ด้านความยั่งยืน เราอยู่ในจุดที่ AI กำลังพัฒนาความสามารถของมนุษยชาติในการแก้ไขปัญหาต่างๆ ตามที่ Hans Rosling คิดไว้

หลายศตวรรษที่ผ่านมาผู้คนได้ใช้เทคโนโลยีในการแก้ไขปัญหาต่างๆ ในขณะเดียวกันก็ต้องจัดการกับความเสี่ยงและความท้าทายไปด้วย การยืนกรานว่าการใช้เทคโนโลยีใหม่ๆ ไม่มีความเสี่ยงคือการปฏิเสธความก้าวหน้าของมนุษย์ ไฟฟ้าทำให้เครื่องใช้ไฟฟ้าทำงานได้ แต่ก็สามารถก่อให้เกิดไฟไหม้ได้เช่นกัน นั่นไม่ได้หมายความว่าเราจะหยุดใช้ไฟฟ้า แต่หมายความว่าเราต้องใช้มันอย่างมีความรับผิดชอบมากขึ้น ปัญหาเกี่ยวกับ AI ที่เราเผชิญอยู่ในปัจจุบันเทียบได้กับการที่บรรพบุรุษของเราหาวิธีใช้ไฟฟ้าหรือไฟ เราจะใช้ประโยชน์จาก AI และป้องกันผลกระทบของมันไปพร้อมๆ กันได้อย่างไร?

ก่อนอื่นเราต้องมีการพัฒนา AI อย่างครอบคลุม บริษัทเทคโนโลยีทั้งหลายมีหน้าที่ในการเพิ่มจำนวนพนักงานที่มีความหลากหลายมากขึ้น รวมทั้ง Google ด้วย และพวกเขาควรเปิดโอกาสให้นักสร้างสรรค์นวัตกรรมที่อยู่นอกองค์กรได้ใช้เครื่องมือในการสร้าง AI อย่างมีความรับผิดชอบและเป็นประโยชน์ต่อสังคม สำหรับ Google เรามี TensorFlow แมชชีนเลิร์นนิงเฟรมเวิร์กแบบโอเพนซอร์สที่ให้บริการฟรีสำหรับทุกคน

นอกจากนี้เรายังมีความมุ่งมั่นที่จะใช้ข้อมูลและเทคโนโลยีด้วยความรับผิดชอบ ในช่วงหลายปีที่ผ่านมาทีมงานของเราได้เน้นย้ำถึงความรับผิดชอบนี้ต้องมาก่อนการพัฒนา AI และเทคโนโลยีขั้นสูงอื่นๆ เราต้องการที่จะสร้างกฎบัตรจริยธรรมเพื่อเป็นแนวทางในการพัฒนาเทคโนโลยีภายในองค์กร และแบ่งปันค่านิยมของเราสู่สังคม ในปีนี้เราได้ประกาศหลักการในการพัฒนา AI ซึ่งเป็นกฎบัตรจริยธรรมสำหรับการพัฒนา AI และเทคโนโลยีขั้นสูงอื่นๆ ของ Google

หลักการเหล่านี้เป็นแนวทางในการตัดสินใจของเราเกี่ยวกับประเภทของฟีเจอร์ที่เราควรต้องสร้างและการค้นคว้าวิจัยต่างๆ ที่เราควรต้องดำเนินการ ตัวอย่างเช่น เทคโนโลยีการจดจำใบหน้าอาจมีประโยชน์เช่นเดียวกับเทคโนโลยีและเครื่องมืออํานวยความสะดวกใหม่ๆ ที่ช่วยตามหาคนหาย รวมทั้งแอปพลิเคชันใหม่ๆ ที่เป็นประโยชน์ เช่นเดียวกับเทคโนโลยีอื่นๆ ที่นำไปใช้ได้หลายด้าน เทคโนโลยีการจดจำใบหน้าจะต้องได้รับการพิจารณาอย่างรอบคอบด้วยเช่นกัน เพื่อให้มั่นใจว่าการใช้งานเป็นไปตามหลักการและค่านิยมขององค์กรของเรา และเพื่อหลีกเลี่ยงการเกิดผลกระทบในเชิงลบ เรายังได้ร่วมมือกับองค์ต่างๆ เพื่อ

ระบุและแจกแจงความท้าทายเหล่านี้ ที่ Google เราได้พิจารณาข้อสงสัยเกี่ยวกับเทคโนโลยีและนโยบายที่สำคัญต่างๆ ก่อนที่จะอนุญาตให้ใช้ API สำหรับการจดจำใบหน้าบน Google Cloud 

หลักการในการพัฒนา AI ประการแรกของเราคือเทคโนโลยีที่เรากำลังพัฒนาอยู่จะต้องเป็นประโยชน์ต่อสังคม ปัจจุบัน AI ได้ผนวกรวมเข้ากับแอปพลิเคชันและบริการต่างๆ เพื่อช่วยอำนวยความสะดวกในชีวิตประจำวันของผู้คนทั่วโลก เช่น แอปพลิเคชัน Google Translate ที่ช่วยให้ผู้จากหลากหลายภาษาสามารถสื่อสารกันได้ แต่นอกเหนือจากการทำให้ชีวิตง่ายและสะดวกสบายขึ้นแล้ว AI ยังสามารถใช้ในการแก้ปัญหาใหญ่ๆ ได้ด้วย ในภูมิภาคเอเชียแปซิฟิกมีการนำเทคโนโลยีของเราไปใช้ให้เกิดประโยชน์หลายด้าน เช่น การพยากรณ์น้ำท่วมในอินเดีย การอนุรักษ์ประชากรนกที่ใกล้สูญพันธุ์ในนิวซีแลนด์ และการต่อต้านการประมงที่ผิดกฎหมายในประเทศอินโดนีเซีย

เราตระหนักดีว่ามีความคิดที่ยอดเยี่ยมมากมายที่ไม่ได้รับการต่อยอดให้เกิดประโยชน์ขึ้นจริงเนื่องจากขาดทรัพยากรที่จำเป็น ด้วยเหตุนี้เราจึงได้เปิดตัวโครงการ Google AI Challenge Impact ที่เปิดโอกาสให้องค์กรที่ไม่แสวงผลกำไร องค์กรทางสังคม และสถาบันการวิจัยทั่วโลก ร่วมแลกเปลี่ยนความคิดเห็นเกี่ยวกับการใช้ AI ในการแก้ไขปัญหาความท้าทายต่างๆ ในสังคม เราจะช่วยเปลี่ยนแนวคิดที่ดีที่สุดให้เกิดเป็นรูปธรรมด้วยการให้คำแนะนำจากผู้เชี่ยวชาญด้าน AI ของ Google พร้อมด้วยเงินทุนสนับสนุนจำนวน 25 ล้านเหรียญสหรัฐจาก Google.org 

การพัฒนา AI จำเป็นต้องมีผู้ที่ไม่ใช่นักวิทยาศาสตร์คอมพิวเตอร์ นักพัฒนา หรือนักวิจัย เข้ามามีส่วนร่วมด้วย การพัฒนา AI ให้เกิดประโยชน์ต่อสังคมหมายถึงการมีส่วนร่วมของทุกภาคส่วนในสังคมในการนิยามความหมายของสิ่งที่เป็นประโยชน์ต่อสังคม ความร่วมมือของรัฐบาลมีความสำคัญเป็นพิเศษเนื่องจากบทบาทสำคัญของรัฐในการจัดหาสินค้าสาธารณะและการควบคุมอุตสาหกรรมต่างๆ

สำหรับในประเทศไทยเรากำลังเริ่มโครงการที่น่าตื่นเต้นในการใช้ AI เพื่อป้องกันภาวะตาบอดในกลุ่มผู้ป่วยเบาหวาน ปัจจุบันในประเทศไทยมีผู้ป่วยเบาหวานจำนวน 5 ล้านคน และ 1 ใน 3 ของผู้ป่วยเบาหวานทั้งหมดมีภาวะเบาหวานขึ้นจอประสาทตา (Diabetic Retinopathy) ซึ่งเป็นภาวะแทรกซ้อนที่อาจทำให้ตาบอดถาวรได้ แต่ในประเทศไทยมีผู้เชี่ยวชาญด้านจอประสาทตาเพียง 1,400 คนเท่านั้น เพื่อช่วยให้ผู้เชี่ยวชาญเหล่านี้สามารถช่วยผู้ป่วยจากการสูญเสียการมองเห็นได้มากขึ้น เราได้ร่วมมือกับโรงพยาบาลราชวิถี สังกัดกระทรวงสาธารณสุข ดำเนินโครงการนำร่องที่ใช้เทคโนโลยี AI ในการตรวจหาภาวะเบาหวานขึ้นจอประสาทตา ซึ่งจะช่วยให้แพทย์สามารถคัดกรองผู้ป่วยได้มากขึ้นโดยใช้เวลาน้อยลง  

ประการสุดท้าย เราจำเป็นต้องมีกรอบการกำกับดูแลที่มีประสิทธิภาพ การพัฒนา AI จะต้องอยู่ภายใต้กรอบการกำกับดูแลที่เปิดโอกาสให้นวัตกรรมด้านเทคโนโลยีมีการเติบโต ในขณะเดียวกันก็ส่งเสริมการพัฒนาที่มีความรับผิดชอบและการประยุกต์ใช้ที่ก่อให้เกิดประโยชน์ต่อสังคมโดยรวม เพื่อแก้ไขปัญหาความกังวลทั้งหมดในสังคม กรอบการกำกับดูแลเหล่านี้ต้องเกิดจากกระบวนการทำงานร่วมกันระหว่างภาครัฐ สถาบันการศึกษา ภาคประชาสังคม และภาคอุตสาหกรรม

แม้ว่าหลายประเทศในเอเชียแปซิฟิกมีความก้าวหน้าอย่างมากในการพัฒนากรอบการกำกับดูแลการพัฒนา AI แต่หากมองระดับภูมิภาค เอเชียแปซิฟิกยังขาดกระบวนการทำงานร่วมกันอย่างสม่ำเสมอในการพิจารณาเกี่ยวกับประเด็นนี้ อีกหนึ่งการดำเนินงานของเราซึ่งเป็นส่วนหนึ่งของความร่วมมือกับ UNESCAP คือการมอบเงินทุนสนับสนุนการสร้างเครือข่ายการวิจัยด้าน AI เพื่อประโยชน์ต่อสังคมในภูมิภาคเอเชียแปซิฟิก (Asia Pacific AI for Social Good Research Network) เครือข่ายนี้จะนำนักวิชาการชั้นนำจากสมาคมมหาวิทยาลัยภาคพื้นแปซิฟิก (Association of Pacific Rim Universities) มารวมตัวกันเพื่อทำการวิจัยเกี่ยวกับการส่งเสริมการใช้ AI เพื่อให้เกิดประโยชน์ต่อสังคม และสร้างกรอบการกำกับดูแล นอกจากนี้ยังจะเป็นเวทีสำหรับนักวิจัยเพื่อหารือเกี่ยวกับประเด็นต่างๆ กับภาครัฐ ภาคประชาสังคม และภาคเอกชน

เราหวังว่าเครือข่ายการวิจัยด้าน AI เพื่อประโยชน์ต่อสังคมนี้จะกลายเป็นระบบนิเวศที่มีความร่วมมือกันระหว่างผู้มีส่วนได้ส่วนเสียในภูมิภาคเอเชียแปซิกเพื่อพิจารณาว่าจะนำ AI มาใช้อย่างไร ประเด็นที่ว่า AI จะได้รับการพัฒนาและนำไปใช้อย่างไรเป็นเรื่องที่สำคัญมากเกินกว่าที่จะปล่อยให้คนใดคนหนึ่งเป็นผู้ตัดสินใจ ทั้งนี้ขึ้นอยู่กับพวกเราทุกคนแล้วว่าเราจะมีส่วนร่วมในการตัดสินใจว่าจะพัฒนาเทคโนโลยี AI อย่างมีความรับผิดชอบ ลดความเสี่ยงในการใช้งานที่ไม่เหมาะสม และใช้ประโยชน์จากศักยภาพของมันได้อย่างไร

from:https://www.techtalkthai.com/utilizing-artificial-intelligence-in-thailand/

US Intelligence Community ยกให้ Quantum Computing และ AI เป็นภัยต่อความมั่นคงของชาติ

US Intelligence Community หรือกลุ่มที่ประกอบด้วย 16 ตัวแทนหน่วยงานรัฐบาลสหรัฐฯ ที่ทำงานประสานงานกันเพื่อถ่ายทอดข้อมูลได้ยกให้ Quantum Computing และ AI รวมถึงเทคโนโลยีใหม่อย่างระบบ Autonomous System หรือ IoT อาจกลายเป็นภัยกำเนิดใหม่ต่อความมั่นคงของชาติหากคนร้ายนำไปใช้ในทางไม่ดี

credit : Techcruch

ภัยที่เป็นเหมือนเหรียญสองด้าน (Dual-use Technologies) นี้ทาง Intelligence Community กล่าวว่า “คนร้ายอาจเข้าถึง AI ที่ใช้ในเพื่อการค้าได้และอาจประยุกต์ไปเป็นอาวุธ” ในอีกด้านหนึ่ง “คนร้ายอาจใช้การ Quantum Communication เป็นช่องทางลับในการติดต่อหากันซึ่งทางสหรัฐฯจะไม่สามารถดักหรือถอดความได้เลย” สามารถดูการประกาศเต็มได้ตามภาพด้านบน

ที่มา : https://techcrunch.com/2018/12/13/us-intelligence-quantum-computing-artificial-intelligence-national-security-threat/

from:https://www.techtalkthai.com/us-intelligence-community-say-quantum-computing-and-ai-are-new-threats/

WordPress ออกแพตช์แก้ไขช่องโหว่ในเวอร์ชัน 5.0.1

เมื่อไม่กี่วันก่อนทาง WordPress เพิ่งปล่อยเวอร์ชัน 5.0 ออกมาซึ่งในวันนี้ได้เริ่มแพตช์ช่องโหว่จำนวน 7 รายการในเวอร์ชัน 5.0.1 แล้ว โดยช่องโหว่ประกอบด้วย XSS และการตรวจเช็ค MIME ให้รัดกุมมากขึ้น เป็นต้น แนะนำผู้ใช้ควรอัปเดต

การแก้ไขช่องโหว่ในแพตช์มีดังนี้

  • แก้ไขการตรวจสอบ MIME สำหรับการอัปโหลดไฟล์คือเวอร์ชันก่อนหน้านั้นไฟล์ที่อัปโหลดอาจจะมีเนื้อไม่ตรงกับ Extension ได้ (.Docx, jpg หรืออื่นๆ) ในแพตช์ใหม่นี้จึงเพิ่มความสามารถตรวจสอบความตรงกันของเนื้อหาและ Extension หลังจากที่ช่องโหว่ XSS ถูกค้นพบโดย Tim Coen และ Slavo Mihajloski
  • Tim Coen และ Slavo Mihajloski ยังได้ค้นพบช่องโหว่ XSS อีกจุดหนึ่งคือผู้ใช้งาน WordPress อาจถูกแก้ไขคอมเม้นต์ใหม่ได้จากผู้ใช้งานระดับสูงกว่าซึ่งการเป็นช่องทางให้นำไปสู่ช่องโหว่ดังกล่าว อย่างไรก็ตาม Coen ระบุว่าตัว WordPress เองไม่ได้รับผลกระทบโดยตรงแต่จะมีผลกับ Plugin บางตัวเท่านั้น
  • RIPS Technologies ได้เครดิตรายงาน Bug 2 รายการว่า Author สามารถแก้ไข Meta Data เพื่อลบไฟล์ที่ตัวเองไม่มีสิทธิ์ อีกช่องโหว่คือการสร้างโพสต์ทั้งที่ตัวเองไม่มีสิทธิ์เช่นกัน

นอกจากนี้ยังมีรายงานจากผู้เขียน Plugin ยอดนิยมของ WordPress อย่าง Yoast SEO ได้ไปพบว่าในหน้า Activation ของผู้ใช้งานสามารถถูก Google ทำ index ได้และอาจนำไปสู่การเผยข้อมูลอย่างที่อยู่อีเมลหรือรหัสผ่านเดิมที่ถูก Generate มาแต่ทางนักพัฒนาของ WordPress กล่าวว่า “เป็นกรณีที่เกิดขึ้นได้น้อยมากๆ” สำหรับผู้ที่ยังไม่ได้อัปเดตเวอร์ชัน 5.0 ก็มีแพตช์ก็มีในเวอร์ชัน 4.9 หรือก่อนหน้าด้วยเช่นกัน ผู้สนใจสามารถอ่านรายละเอียดของแพตช์เพิ่มเติมได้ที่นี่

ที่มา : https://www.securityweek.com/several-vulnerabilities-patched-release-wordpress-501 และ https://www.zdnet.com/article/wordpress-plugs-bug-that-led-to-google-indexing-some-user-passwords/

from:https://www.techtalkthai.com/wordpress-patch-via-version-5-0-1/

IDC เผยยอดขาย Server ทั่วโลกไตรมาสที่ 3 ปี 2018 Dell EMC, HPE ยังคงเป็นผู้นำ

IDC ได้ออกมาเผยถึงสถิติจาก Worldwide Server Tracker สำหรับไตรมาสที่ 3 ปี 2018 ที่แสดงให้เห็นถึงการเติบโตอย่างรวดเร็วของตลาด ด้วยยอดขายที่เติบโตถึง 37.7% เมื่อเทียบกับไตรมาสเดียวกันของปี 2017

Credit: IDC

ในไตรมาสดังกล่าว Dell EMC และ HPE ได้ขึ้นเป็นผู้นำของตลาดด้วยส่วนแบ่ง 17.5% และ 16.3% ตามลำดับ ตามมาด้วย Inspur, Lenovo, IBM, Huawei และ Cisco

ด้วยอัตราการเติบโต 37.7% นี้ ก็ทำให้มูลค่าตลาดในไตรมาสนี้สูงถึง 23,400 ล้านเหรียญหรือราวๆ 748,800 ล้านบาท โดยมีจำนวน Server ที่ส่งมอบมากถึง 3.2 ล้านเครื่อง เติบโตขึ้นมาถึง 18.3% โดย Server ขนาดเล็กนั้นมีการเติบโตมากสุดที่ 40.2% ตามมาด้วย Server ขนาดกลาง 39.4% และ Server ขนาดใหญ่ 6.9%

ผู้ที่สนใจสถิติฉบับเต็ม สามารถซื้อรายงานฉบับนี้ได้ที่ https://www.idc.com/tracker/showproductinfo.jsp?prod_id=7

ที่มา: https://www.storagereview.com/idc_release_3q18_worldwide_server_tracker

from:https://www.techtalkthai.com/idc-reveals-server-shipment-stat-on-2018-q3/

ตั้งค่า Apache Web Server ไม่ปลอดภัย ข้อมูลชาวบราซิลกว่า 120 ล้านคนรั่วสู่สาธารณะ

เมื่อเดือนมีนาคม 2018 ที่ผ่านมา นักวิจัยจาก InfoArmor ได้ค้นพบถึงกรณีข้อมูลเลขระบุตัวตนของชาวบราซิลกว่า 120 ล้านคนได้ถูกเปิดเผยสู่สาธารณะจากการตั้งค่า Apache Web Server ที่ไม่ดี นับเป็นข้อมูลของประชาชนเกินกว่าครึ่งหนึ่งของบราซิลเลยทีเดียว

Credit: ShutterStock.com

InfoArmor นั้นพบว่าหน้า index.html ใน Apache Web Server แห่งนี้ถูกเปลี่ยนชื่อเป็น index.html_bkp แทน ทำให้บุคคลภายนอกสามารถเข้าถึงข้อมูลทั้งหมดใน Directory บน Web Server นั้นๆ ได้ ซึ่งด้วยวิธีการนี้เองก็ทำให้บุคคลภายนอกสามารถเข้าถึงข้อมูลสำคัญของประชาชนชาวบราซิลกว่า 120 ล้านรายที่ถูกเก็บอยู่ภายในระบบได้

ข้อมูลดังกล่าวนี้เป็นข้อมูล ID Number ของ Cadastro de Pessoas Físicas (CPFs) ซึ่งเป็นค่า ID ที่ธนาคารกลางของบราซิลได้สร้างขึ้นมาสำหรับประชาชนและผู้เสียภาษีทุกคน

วิธีการแก้ไขปัญหาในกรณีนี้เบื้องต้นสามารถทำได้สองทาง ได้แก่ การไม่เปลี่ยนชื่อไฟล์ index.html หลักเด็ดขาด หรือการตั้งค่าใน .htaccess ให้ดี ซึ่งกรณีนี้ก็ต้องใช้เวลาประมาณ 1 สัปดาห์หลังจากที่ InfoArmor ไม่สามารถติดต่อกับเจ้าของระบบได้ กว่าที่ระบบจะถูกแก้ไข

กรณีนี้ถือว่าสร้างข้อกังขาให้กับผู้คนเป็นอย่างมาก ว่าข้อมูลที่มีความสำคัญสูงระดับนี้ถูกจัดเก็บอยู่บนเครื่อง Server ของหน่วยงานภายนอกและเปิดให้เข้าถึงได้แบบ Online ได้อย่างไร โดยที่ระบบเหล่านี้ขาดความมั่นคงปลอดภัยและไม่ได้ผ่านการทำ Compliance เลย

ที่มา: https://www.infosecurity-magazine.com/news/apache-misconfig-leaks-data-120/

from:https://www.techtalkthai.com/misconfigured-apache-web-server-caused-120-million-brazillians-data-leak/